• 主页
  • 文章
  • 电脑
  • Windows Defender 的“自动提交样本”和“基于云的保护”如何工作?

Windows Defender 的“自动提交样本”和“基于云的保护”如何工作?

已发表: 2022-01-29

与其他现代防病毒应用程序一样,Windows 10 的集成 Windows Defender 防病毒软件具有一些“云”功能。 默认情况下,Windows 会自动上传一些看起来可疑的文件并报告有关可疑活动的数据,以便尽快检测和阻止新威胁。

相关: Windows 10 的最佳防病毒软件是什么? (Windows Defender 是否足够好?)

这些功能是 Windows Defender 的一部分,Windows 10 附带的防病毒工具。Windows Defender 始终运行,除非您安装了第三方防病毒应用程序工具来替换它。

这两个功能默认启用。 你可以通过启动 Windows Defender 安全中心来查看它们当前是否已启用。 您可以通过在“开始”菜单中搜索“Windows Defender”或在应用列表中找到“Windows Defender 安全中心”来找到它。 导航到病毒和威胁防护 > 病毒和威胁防护设置。

如果您愿意,可以在此处禁用基于云的保护和自动样本提交。 但是,我们建议您启用这些功能。 这就是他们所做的。

基于云的保护

根据 Windows Defender 安全中心界面,基于云的保护功能“通过访问云中最新的 Windows Defender 防病毒保护数据提供增强和更快的保护”。

广告

这似乎是最新版本的 Microsoft Active Protection Service(也称为 MAPS)的新名称。 它以前称为 Microsoft SpyNet。

将此视为更高级的启发式功能。 使用典型的防病毒启发式方法,防病毒应用程序会监视程序在您的系统上执行的操作,并确定它们的行为是否可疑。 它完全在您的 PC 上做出此决定。

借助基于云的保护功能,Windows Defender 可以在发生可疑事件时将信息发送到 Microsoft 的服务器(“云”)。 不是完全根据您 PC 上可用的信息做出决定,而是在 Microsoft 的服务器上做出决定,这些服务器可以访问 Microsoft 研究时间、机器学习逻辑和大量最新原始数据中可用的最新恶意软件信息.

微软的服务器发送近乎即时的响应,告诉 Windows Defender 该文件可能很危险,应该被阻止,请求文件样本以进行进一步分析,或者告诉 Windows Defender 一切正常,文件应该正常运行。

默认情况下,Windows Defender 设置为等待最多 10 秒以接收来自 Microsoft 云保护服务的响应。 如果在这段时间内没有收到回复,它将让可疑文件运行。 假设您的 Internet 连接良好,那应该是绰绰有余的时间了。 云服务通常应在不到一秒的时间内做出响应。

自动提交样品

Windows Defender 界面指出,基于云的保护在启用自动样本提交的情况下效果最佳。 这是因为基于云的保护可以请求文件的样本,如果文件看起来可疑,Windows Defender 会自动将其上传到 Microsoft 的服务器,如果你启用了此设置。

广告

此功能不会只是随意地将文件从您的系统上传到 Microsoft 的服务器。 它只会上传 .exe 和其他程序文件。 它不会上传您的个人文档和其他可能包含个人数据的文件。 如果文件可能包含个人数据但看起来可疑(例如,似乎包含潜在危险宏的 Word 文档或 Excel 电子表格),则会在将其发送给 Microsoft 之前收到提示。

当文件上传到 Microsoft 的服务器时,该服务会快速分析文件及其行为,以确定它是否危险。 如果发现文件是危险的,它将在您的系统上被阻止。 下次 Windows Defender 在其他人的 PC 上遇到该文件时,无需额外分析即可将其阻止。 Windows Defender 得知该文件是危险的,并为所有人阻止它。

这里还有一个“手动提交样本”链接,该链接将您带到微软网站上的提交文件以进行恶意软件分析页面。 您可以在此处手动上传可疑文件。 但是,在默认设置下,Windows Defender 将自动上传具有潜在危险的文件,并且几乎可以立即阻止它们。 您甚至不会知道文件已上传——如果它很危险,它只会在几秒钟内被阻止。

为什么应该启用这些功能

我们建议您启用这些功能,以帮助保护您的 PC 免受恶意软件的侵害。 恶意软件可能会很快出现和传播,并且您的防病毒软件可能不会频繁地下载病毒定义文件来阻止它。 这些类型的功能可帮助您的防病毒软件更快地响应新的恶意软件流行并阻止从未见过的恶意软件,否则这些恶意软件会从裂缝中溜走。

微软最近发布了一篇博客文章,详细介绍了一个 Windows 用户下载新恶意软件文件的真实示例。 Windows Defender 确定该文件可疑,并要求基于云的保护服务提供更多信息。 在 8 秒内,该服务收到了上传的样本文件,将其分析为恶意软件,创建了防病毒定义,并告诉 Windows Defender 将其从 PC 中删除。 由于新创建的病毒定义,只要其他 Windows PC 遇到该文件,该文件就会被阻止。

这就是为什么您应该启用此功能。 与基于云的保护服务断开后,Windows Defender 可能没有足够的信息,不得不自行做出决定,从而可能允许危险文件运行。 借助基于云的保护服务,该文件被标记为恶意软件,并且所有受 Windows Defender 保护的 PC 将来发现它都会知道该文件是危险的。